2009年全国大学生信息安全竞赛.DOCVIP

2009年全国大学生信息安全竞赛 作品报告 作品名称： 网站挂马远程检测与评估系统 参赛学校： 中国民航大学 学院/系： 计算机学院 指导教师： 刘春波 组 长： 傅强 组 员： 黄宇宫 陈辰 曾裕智 通信地址： 中国民航大学 电 话： 电子邮箱： f148002@163.com 提交日期： 2009年6月30日 填写说明 1。 所有参赛必须为一个基本完整的设计。方案 3。 作品报告中各项目说明文字部分仅供参考，作品报告书撰写完毕后，请删除所有说明文字。(本页不删除) 4。 作品报告模板里已经列的内容仅供参考，作者也可以多加内容。 目 录 第一章 摘要 1 第二章 作品介绍 2 第三章 实现方案 4 第四章 性能测试 17 第五章 创新性 22 参考文献 28   第二章 作品介绍 2.1 特色描述 一个网站是否被挂马很难较直观地判断，因为网站有几千乃至几万的页面，每一个页面都有可能存在挂马代码，同时我们又不可能拥有网站的管理权限直接对网站进行检测。即使我们可以知道某个页面存在挂马代码，但木马多种多样的形式也让我们防不胜防。黑客更是可以通过加密技术来使我们完全无法分辨挂马代码。我们开发的网站挂马远程检测与评估系统，同时利用服务器端静态远程检测技术和客户端动态行为分析技术（“食虫草”技术），能达到一个较好的检测效果。 2.2 背景分析 什么是网页挂马 挂马就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站中，利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。例如很多游戏网站被挂马，黑客的目的就是盗取浏览该网站玩家的游戏账号。而那些大型网站被挂马，则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉，丢失大量客户，也会让我们这些普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。下面就让我们来了解这种时下最流行的黑客攻击手段。 网页挂马的危害 网页被挂马，在一定程度上可以说是网页被篡改，但是比较隐蔽。对被挂马的服务器端来说，一方面是系统资源，流量带宽资源的巨大损失，另一方面也成为了传播网页木马的“傀儡帮凶”，严重影响到网站的公众信誉度；对客户端来说，很多网页木马都是利益驱动，偷盗各类帐号密码，如电子银行帐户和密码、游戏帐号和密码、邮箱帐户和密码、QQ/MSN 帐号和密码等；另外，使得客户端被安装恶意插件，强迫浏览黑客指定的网站；或者被利用攻击某个站点等。目前流行的OnLineGames木马是依靠网页挂马攻击来实现的。在主动攻击越来越困难的情况下，利用网页木马进行攻击已经成为目前最为流行的黑客攻击手段，所以应引起足够重视。 2.3 相关工作 在服务器端，我们针对一些常见的挂马方式，采用了基于特征代码的静态检测机制。因为没有网站的所有权，我们只能采用远程检查的方式，即当系统对指定的URL开始检查时，会自动的对目标URL发出请求获取相关的页面，网站将将相关页面返回后，系统调用特定的模块来进行检测。我们的程序中已经编制了各种各样的网马特征代码的正则表达式可以对多种已知的特征进行发掘。针对可疑的特定的代码处我们对进行进一步的跟踪有哪些信誉好的足球投注网站，直到确认安全或者是发现极可能为挂马网页为止则反馈相应的信息。 除了传统的木马检测方式,我们借助了“食虫草”技术来完善我们的系统. “食虫草”技术即客户端动态行为检测技术，它安装在客户端。当用户在平时上网时，只要连接到特定网站，该模块便会扫描客户本机的一些未知可疑行为。它的优点是即使网站木马被多种形式隐藏起来（例如加密，加壳，加花等）我们也能通过分析用户本地的机器来找到蛛丝马迹。“食虫草”技术更多是基于防御的理念，系统事先对本机的一些关键位置进行保护，只要有陌生行为对系统保护的关键位置进行触碰，便会自动触发系统的一些防御行为。 2.4 应用市场分析